Weekly Threats N. 14 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: nuove offensive impattano il Bel Paese
• Breach: colpite Western Digital, Capita e Micro-Star International (MSI)
• The Vulkan Files: leak rivela progetti legati a Mosca
• 3CXDesktopApp: forniti ulteriori dettagli sugli attacchi supply chain

Anche questa settimana nuove offensive hanno preso di mira il Bel Paese. L’operatore ransomware LockBit Team ha rivendicato sul proprio sito dei leak la compromissione delle aziende Errebielle S.r.l., M.A. S.r.l. e O.M.S. S.p.A.; mentre dal canto suo ALPHV Team ha colpito la Electronic SYSTEMS S.p.A. Oltre a ciò, il gruppo cybercriminale Stormous ha annunciato sul proprio canale Telegram la compromissione di Metal Work S.p.A.; tuttavia quest’ultima ha affermato di non aver rilevato evidenze di nessuna violazione o esfiltrazione di dati da piattaforme e sistemi aziendali; d’altra parte, su un popolare forum underground è stato rilevato un annuncio riguardante la vendita di un presunto database relativo a 550 utenze riconducibile alla Società italiana aerospaziale Alpi Aviation S.r.l.

Restando in ambito breach, secondo quanto riportato da fonti giornalistiche, la società californiana Western Digital – produttrice mondiale di dischi rigidi – ha subito una violazione che ha permesso a una terza parte non autorizzata di ottenere l’accesso a diversi sistemi aziendali; mentre il fornitore londinese di servizi di outsourcing Capita è stato colpito da un attacco informatico che ha principalmente impattato l’accesso alle applicazioni interne, causando l’interruzione di alcuni servizi forniti a singoli clienti. In ultimo, un nuovo gruppo ransomware chiamato Money Message ha rivendicato la compromissione della multinazionale taiwanese del settore informatico Micro-Star International (MSI).

Passando al panorama state-sponsored, diversi documenti riservati trapelati da un informatore anonimo e appartenenti a un appaltatore IT con sede a Mosca chiamato NTC Vulkan (in russo НТЦ Вулкан) hanno rivelato il presunto coinvolgimento di quest’ultimo in alcuni progetti stipulati con il Ministero della Difesa russo, tra cui, in almeno un caso con l’APT Sandworm. In particolare, queste collaborazioni riguardano tool, programmi di addestramento e una piattaforma di red team per l’esercitazione di vari tipi di operazioni informatiche offensive, tra cui spionaggio informatico, InfoOps e attacchi OT. Infine, ricercatori di sicurezza hanno fornito ulteriori dettagli sugli attacchi di tipo supply chain parte della campagna rivolta ai clienti di 3CX. In particolare, un payload di secondo livello chiamato Gopuram è stato installato sulle reti di alcuni clienti impattati del settore delle criptovalute. La scoperta del malware ha permesso ai ricercatori di attribuire con una confidenza medio-alta la campagna 3CX al gruppo state-sponsored Lazarus Group, il quale sembra utilizzare la backdoor dal 2020. Si ritiene che l’operazione sia cominciata all’inizio dell’autunno 2022 e, in base ai dati di telemetria raccolti, i 10 Paesi che risultano essere maggiormente impattati sono: Italia, Germania, Austria, Stati Uniti, Sudafrica, Australia, Svizzera, Paesi Bassi, Canada e Regno Unito.